Анализ защищенности распределенных информационных систем. DVWA. Для студентов технических специальностей

Иван Андреевич Трещев

Данная книга является первой в цикле об анализе защищенности распределенных информационных систем с использованием общедоступных образов операционных систем, содержащих уязвимости. Информация будет полезна как исследователям, повышающим уровень своих компетенций в области информационной безопасности, так и специалистам по защите информации для выполнения анализа на проникновение за периметр предприятий.

Я — хакер, войдите в мой мир…

Манифест хакера

© Иван Андреевич Трещев, 2023

© Наталья Андреевна Гулина, 2023

ISBN 978-5-0062-0948-0

Создано в интеллектуальной издательской системе Ridero

Введение

Научить «взламывать» информационные системы невозможно. Это другой — альтернативный образ мысли. Данная книга не является пособием по практике тестирования на проникновение, а скорее содержит в себе описание наиболее распространенных уязвимостей на примере популярного образа DVWA

DVWA содержит 14 уязвимостей (названия представлены из веб-приложения):

— Brute Force;

— Command Injection;

— CSRF;

— File Inclusion;

— File Upload;

— Insecure CAPTCHA;

— SQL Injection;

— SQL Injection (Blind);

— Weak Session IDs;

— XSS (DOM);

— XSS (Reflected);

— XSS (Stored);

— CSP Bypass;

— JavaScript.

Необходимо выполнить задание на трех различных уровнях сложности.

DVWA будет развёрнут на собственном виртуальном сервере с использованием механизмов контейнеризации (Docker). Порт 8001/TCP сервера отображается на порт 80/TCP контейнера. Доступ к серверу производится с использованием доменного имени kalkt.com. Таким образом, доступ к DVWA можно получить по ссылке http://kalkt.com:8001.

Для выполнения заданий будет использоваться виртуальная машина с установленной операционной системой Kali Linux версии 2021.1 и виртуальная сеть между DVWA и kali.

Авторы выражают огромную благодарность студентам группы 6ИБ-1 ФГБОУ ВО КнАГУ за неоценимую помощь в подготовке материалов книги.